Version 2.2. Version 3.02

Transcription

1 Version 2.2 Version 3.02

2 Scrypto CYBER-PASS La solution globale d authentification / chiffrement Scrypto CYBER-PASS permet de mettre en œuvre un procédé d authentification forte avec toutes les applications sensibles nécessitant une identification forte de l utilisateur et compatibles CSP ou PKCS#11. Authentification de l utilisateur Un utilisateur, pour pouvoir utiliser une application compatible CYBER-PASS, doit disposer d'une carte ou clé et du code PIN associé. L'authentifieur héberge le certificat et la clé privée utiles à l'application. Le certificat est associé à une personne et non plus à une machine : vous identifiez l'utilisateur avec certitude. Déblocage à distance du code de déblocage, l'utilisateur est invité à entrer un nouveau code PIN. La carte est à nouveau opérationnelle. Applications compatibles La solution d'authentification forte, Scrypto CYBER-PASS, permet de mettre en œuvre le procédé d'authentification à double facteur pour toutes les applications compatibles Microsoft CAPI ou PKSC#11. Sécurité des réseaux : Clients VPN (Cisco, Checkpoint, StrongS/WAN...). Ouverture de session Windows (Microsoft Smart Card Logon Accès WEB sécurisés (IE, Mozilla...) Lors de la saisie du code PIN, si la carte est bloquée, une fenêtre de déblocage apparaît. Dans cette fenêtre, une chaîne d'identification s'affiche. Elle doit être transmise à l'administrateur. En retour l'administrateur fournit un code de déblocage valide une seule fois. Après saisie Sécurité des données : Chiffrement de fichiers et dossiers avec logiciels de chiffrement compatibles CSP ou PKCS#11. Chiffrement et signature de mails (Outlook, Lotus Notes, Mozilla Thunderbird...). Principe de l authentification double facteur : Ce que vous possédez : le Scrypto Authentifieur ce que vous connaissez : le code PIN ou Passphrase + 2

3 Solution Globale Authentification forte Card Management Chiffrement de fichiers Single Sign On Sécurité des accès distants Certificats et PKI Authentifieurs Intégration de CYBER-PASS dans une architecture sécurisée Applications de sécurité Logiciels de Clients VPN Clients Messagerie PKI Microsoft Chiffrement Smart Card Logon Scrypto CYBER-PASS Microsoft CAPI PKCS#11 CSP Driver clé à puce virtuelle Scrypto Authentifieurs Clé à puce virtuelle Carte à puce Clé à puce Administration et déploiement Grâce à son outil de gestion des authentifieurs (Card Management) CYBER-PASS permet de mettre en œuvre une gamme complète de solutions d authentification forte, de chiffrement et de SSO à partir d un support d authentification unique. Ces solutions sont décrites dans la suite de ce document. Scrypto CYBER-PASS peut être installé sur des postes équipés de Windows 2000, Windows XP ou Windows Points forts Authentification à double facteur : carte à puce ou clé USB + code PIN Mobilité : support certificat X.509 dans la clé ou la carte Authentifieur unique pour l authentification forte, le chiffrement, le SSO... Transparent pour les utilisateurs Aucune clé stockée sur la machine Outils et services adaptés 3

4 Scrypto DynamiD L authentification forte dynamique Scrypto DynamiD, solution d'authentification forte à l'ouverture de session Windows, vous permet de sécuriser l'ouverture des comptes Windows tout en simplifiant la tâche de l'utilisateur. Étapes d authentification avec Scrypto DynamiD Simplicité d'utilisation La mise en place d'une politique de sécurité forte imposant des changements de mots passe Windows fréquents est difficilement acceptée par les utilisateurs. Si les règles sont trop strictes, les mots de passe seront notés à proximité de l'ordinateur, et si elles sont souples, les mots de passe seront trop simples. Scrypto DynamiD simplifie le travail des utilisateurs au quotidien, ceux-ci n'ont plus de mot de passe à retenir, le support (carte à puce, clé USB) et son code PIN remplacent l'authentification par login / mot de passe. L'utilisateur choisit lui-même son code et le simple retrait de la carte ou de la clé verrouille automatiquement la session en cours. Sécurité renforcée Scrypto DynamiD s'appuie sur une authentification forte à deux facteurs. L'utilisateur doit, pour ouvrir une session sur sa machine ou sur le domaine, posséder deux éléments : un élément matériel (sa carte à puce ou sa clé) et une information qu'il est le seul à détenir, le code PIN. 4

5 Solution Globale Authentification forte Card Management Chiffrement de fichiers Single Sign On Sécurité des accès distants Certificats et PKI Authentifieurs Adapté à votre architecture Dans un domaine Windows Active Directory : Scrypto DynamiD s appuie sur la technologie du Smart Card Logon de Windows. L ouverture de session est réalisée après authentification réciproque du client et du contrôleur de domaine Windows pour une sécurité accrue (cf schéma page 19). En plus de l ouverture de session par carte et du verrouillage automatique, Scrypto DynamiD vous apporte les fonctionnalités supplémentaires de déblocage des cartes en local ou à distance, ainsi qu un choix d authentifieurs adaptés à chaque usage (clé USB ou carte à puce). Déblocage Le déblocage carte peut être réalisé avant l ouverture de session et à distance grâce à la transmission d un défi / réponse. Dans un Workgroup ou en poste isolé : Lorsque le poste de travail est isolé ou appartient à un Workgroup, Scrypto DynamiD enregistre le login et le mot de passe de la session de l utilisateur dans la carte ou la clé. Comme lors d une utilisation dans un domaine, le simple retrait de la carte ou de la clé USB, verrouille la session de l utilisateur. Protection du poste : Verrouillage par simple retrait carte Administration et déploiement L'installation de Scrypto DynamiD sur les postes de travail peut être réalisée par des outils d'installation administrée (SMS...). Scrypto DynamiD peut être installé sur des postes équipés de Windows 2000, Windows XP ou Windows Points forts Compatible «clé à puce virtuelle» Cartes à cryptoprocesseur avec générateur de bi-clé 1024 / 2048 bits Sécurité unifiée des accès locaux et distants Verrouillage au retrait de la carte Installation rapide et simplifiée des postes Transparent pour les utilisateurs Intégré au Smart Card Logon 5

6 Scrypto Card Manager La solution personnalisée de gestion des cartes et clés Grâce à son interface conviviale, Scrypto Card Manager vous permet de gérer les utilisateurs et leur carte ou clé associée très simplement : la personnalisation, la réinitialisation du code PIN ou encore l effacement de la carte se font en quelques clics Un outil performant et simple Le Card Manager permet de gérer l'ensemble des cartes ou clés des utilisateurs. Via une seule interface WEB vous personnalisez les cartes très rapidement pour les nouveaux utilisateurs. Une carte déjà personnalisée peut être effacée et réutilisée par un autre utilisateur. Le Card Manager vous permet également de débloquer des cartes en local ou à distance grâce au code de déblocage à usage unique. Un outil personnalisable et adapté à vos besoins Le Card Manager ne nécessite pas d'évolution de votre architecture (domaine, workgroup, LDAP). Le Card Manager peut s'intégrer dans votre PKI (Microsoft Certificate serveur, NewP- KI ou autre IGC avec une interface WEB) pour réaliser l'ensemble des opérations (demande de certificat / gestion carte) depuis la même application. En fonction de vos besoins Scrypto adapte le Card Manager pour permettre un dialogue direct avec votre PKI. Ainsi la personnalisation des cartes et les générations des certificats peuvent être réalisées via une demande unique. Gestion partagée des cartes et clés L'attribution et la gestion des utilisateurs sont souvent réalisées par plusieurs personnes, c'est pourquoi grâce à une interface WEB, le Card Manager peut être utilisé par plusieurs administrateurs. Calcul des codes de déblocage L interface du Card Manager fournit deux types de codes de déblocage : Par code PUK : il est généré et enregistré lors de la personnalisation de la carte. Il peut être imprimé et confié à l utilisateur. L ensemble des codes PUK peut être exporté au format «.csv» depuis le Card Manager et exploité via un logiciel de traitement de données. Par défi / réponse : Une fenêtre de déblocage indique une chaîne d'identification, elle doit être transmise à l'administrateur. En retour l'administrateur fournit un code de déblocage valide une seule fois. Après saisie l'utilisateur est invité à entrer un nouveau code PIN. La carte est à nouveau opérationnelle. 6

7 Solution Globale Authentification forte Card Management Chiffrement de fichiers Single Sign On Sécurité des accès distants Certificats et PKI Authentifieurs Personnalisation graphique des supports Scrypto Card Manager peut dialoguer avec des imprimantes spécifiques pour cartes à puce. Ainsi vous multipliez les usages (identification physique, authentification logique, contrôle d'accès) avec un seul et même support géré depuis le Card Manager. L impression des cartes est réalisée sur une imprimante compatible. Installation et configuration Le Card Manager ne nécessite aucune installation préalable sur le poste, la gestion de la carte ou de la clé est réalisée au travers d un ActiveX. L administrateur se connecte à l adresse du serveur hébergeant les pages WEB. Le serveur Web utilisé peut être soit IIS, soit APACHE. Points forts Utilisation possible par plusieurs administrateurs Solution personnalisable et intégrable dans votre PKI Analyse et effacement des cartes et clés existantes Personnalisation graphique des supports Outil WEB, pas d installation requise. 7

8 Scrypto Chiffrement ZoneCentral * ZoneCentral est le produit de chiffrement simple à déployer, automatique pour l administrateur et transparent pour l utilisateur. Cette solution, qui apporte un haut niveau de sécurité, chiffre les données pour en réserver l accès aux seuls utilisateurs autorisés et identifiés. Sans contrainte d organisation, ZoneCentral protège les fichiers et les dossiers là où ils résident. Il chiffre le swap et supprime les fichiers temporaires par surcharge. Chiffrement à la volée transparent pour les utilisateurs L utilisateur accède normalement aux fichiers sans action particulière et sans percevoir une différence de traitement entre les fichiers chiffrés et les fichiers en clair. Il devra seulement fournir une clé d accès, une seule fois dans sa session de travail, permettant de déchiffrer les fichiers chiffrés auxquels il accède. Cette transparence, réduit au strict minimum l interaction avec l utilisateur. Protection permanente et automatique Organisation des données inchangées Les fichiers sont chiffrés 'in-place', là où ils résident habituellement, sur un poste de travail ou sur un serveur de données. Aucun changement de l organisation des données n est nécessaire pour ZoneCentral. Partage et trafic réseau sécurisés ZoneCentral chiffre/déchiffre les fichiers, au plus près de leur utilisation, sur le poste de travail, en mémoire. De ce fait, lors d un accès sur un serveur via le réseau local de l entreprise, ou de façon déportée, les données transitent chiffrées. De plus, si un utilisateur partage une zone chiffrée sur son poste, seuls les utilisateurs ayant les droits d accès correspondants pourront lire le contenu des fichiers partagés. Mêmes les sauvegardes peuvent être effectuées en chiffré, ce qui pérennise la confidentialité des informations sensibles. Le plan de sécurité des données est décidé par les responsables de la sécurité de l entreprise. Il est ensuite appliqué automatiquement et de façon systématique par ZoneCentral, sans aucune sollicitation de l utilisateur. Les fichiers sont chiffrés en permanence (pas de copie en clair à un instant donné). * : ZoneCentral est un produit de la société Prim X 8

9 Solution Globale Authentification forte Card Management Chiffrement de fichiers Single Sign On Sécurité des accès distants Certificats et PKI Authentifieurs Clés d accès des utilisateurs Pour accéder aux zones chiffrées, plusieurs moyens d authentification sont possibles : mot de passe, fichiers de clés (.p12,.pfx) ou les supports physiques Scrypto Authentifieurs. Effacement sécurisé des fichiers Tous les fichiers supprimés par l utilisateur ou les applications sont effacés par surcharge. Le swap (ou fichier d échange) est également chiffré. ZoneCentral est le seul produit à offrir ces fonctions de wiping temps réel et de chiffrement du swap qui comblent ainsi des failles de sécurité potentielles importantes Le responsable de la sécurité dispose de moyens de recouvrement, propres à l entreprise, qui permettent d auditer les zones chiffrées. Il dispose également des outils qui lui permettent à tout moment de passer en clair ou en chiffré telle ou telle zone de son parc. Pièces jointes et archives chiffrées Zed! est un module intégré en standard dans ZoneCentral, qui permet de créer des conteneurs chiffrés et compressés pour l envoi sécurisé par de pièces jointes. L utilisateur peut échanger des informations avec d autres personnes équipées ou non de ZoneCentral. Les conteneurs peuvent utiliser des mots de passe (partagés) ou des certificats. Une version freeware permet de lire et modifier le contenu du dossier Zed. Points forts Chiffrement à la volée, in-place Chiffrement automatique du swap Détection automatique des clés mémoires USB avec proposition de chiffrement Effacement par surcharge (wiping) à la volée 9

10 Scrypto ExpreSSO Le Single-Sign-On (SSO) SSOX *, solution de Single-Sign-On (SSO), retient pour vous vos mots de passe. Une fois renseignés, ceux-ci sont stockés sécuritairement dans l'authentifieur SCRYPTO. Dès qu'une application demande une authentification, SSOX complète automatiquement les champs requis. La paramétrage des applications se fait grâce au module ExpreSSO Configuration. Lors de la première connexion à l'application, l'auto apprentissage demande à l'utilisateur le couple login/mot de passe qui est ensuite stocké sur l authentifieur SCRYPTO. Ne tapez plus vos mots de passe L'augmentation des contrôles d'accès aux applications multiplie les mots de passe des utilisateurs. SSOX retient ces mots de passe et prend en charge pour vous l'authentification sur les applications client / serveur ainsi que les applications WEB. Son moteur SSO détecte les événements Windows correspondant aux demandes d'identification et simule la saisie de l'utilisateur. Mise en oeuvre sécurisée et simple Contrairement à d'autres solutions de SSO, SSOX n'exploite pas le principe du mot de passe unique propagé par l'intermédiaire d'un serveur dédié à l'ensemble des serveurs réalisant les authentifications : chaque application reste maîtresse de ses mots de passe. Ainsi vous gagnez : - en sécurité, la découverte d'un mot de passe ne compromet pas la sécurité de toute les applications, - en simplicité, vous ne modifiez pas les applications existantes. Les applications supportées SSOX peut être mis en oeuvre pour différents types d'applications : les applications client/ serveur, les applications WEB et les émulateurs en environnement Windows. * : SSOX est un produit de la société Avencis 10

11 Solution Globale Authentification forte Card Management Chiffrement de fichiers Single Sign On Sécurité des accès distants Certificats et PKI Authentifieurs Gestion des changements de mots de passe SSOX prend en charge automatiquement les procédures de changement de mot de passe. Ces changements peuvent intervenir à l'initiative de l'application ou de SSOX. Le mot de passe d'origine peut être remplacé par un aléa complexe. Administration et déploiement L'installation de SSOX sur les postes de travail peut être réalisée par des outils d'installation administrée (SMS...). SSOX peut être installé sur des postes équipés de Windows 2000, Windows 2003 ou Windows XP. Les deux modules SSOX Watcher et SSOX Configuration peuvent être dissociés (poste utilisateur / poste administrateur) et la configuration du module client (fichier de configuration des applications) peut être déployée sur l'ensemble des postes. Points forts Authentification unique en début de session Aucune adaptation spécifique des applications Renforce la sécurité tout en diminuant la tâche des utilisateurs et des administrateurs Pas de serveur central de gestion des mots de passe des utilisateurs Gestion automatique et unifiée de tous les contrôles d'accès par mot de passe Suppression des risques de divulgation ou d'utilisation abusive de mots de passe 11

12 Scrypto Safe-Conduit La sécurité des accès VPN, WIFI et RAS Scrypto Safe-Conduit, solution de sécurisation des accès distants, permet d identifier avec certitude les utilisateurs des connexions VPN, WIFI ou RAS de votre entreprise grâce à une authentification à double facteur. Protégez vos accès distants Un utilisateur, pour pouvoir se connecter à une liaison VPN ou WIFI, doit disposer d'une carte ou clé et du code PIN associé. L'authentifieur héberge le certificat qui permet au client VPN d'établir la connexion. Le certificat est associé à une personne et non plus à une machine, vous identifiez l'utilisateur avec certitude. Un VPN ou une liaison WIFI permettent de se connecter facilement et à faible coût aux ressources de l'entreprise depuis l'extérieur ou depuis une connexion internet. La multiplication de ces accès augmente les risques pesant sur la sécurité de vos ressources informatiques. Les protocoles de sécurité mis en place par les VPN, les accès RAS ou WIFI permettent de garantir l'intégrité des données transférées sur la connexion mais en aucun cas d'authentifier la personne à l'origine de la connexion. Ainsi en cas de vol de portable ou d'attaque par connexion externe, le risque d'usurpation d'identité est élevé. C'est pourquoi il est important d'identifier la personne se connectant via un VPN ou un accès WIFI. Authentification de l'utilisateur Les éditeurs de solutions VPN ou WIFI proposent des interfaces techniques permettant à des éditeurs tiers de mettre en place des solutions d'authentification forte sur leurs accès. Scrypto Safe-Conduit exploite ces possibilités grâce à son propre Cryptographic Service Provider (CSP). Administration et déploiement L'installation de Scrypto Safe-Conduit sur les postes de travail peut être réalisée par des outils d'installation administrée (SMS...). Scrypto Safe-Conduit peut être installé sur des postes équipés de Windows 2000, Windows XP ou Windows

13 Solution Globale Authentification forte Card Management Chiffrement de fichiers Single Sign On Sécurité des accès distants Certificats et PKI Authentifieurs Établissement d une liaison VPN SSL avec authentification forte 1. L utilisateur se connecte à l adresse du site protégé par authentification forte (HTTPS) (envoi d une requête client). 2. Demande d authentification du serveur. Le serveur envoie son certificat ainsi que la liste des algorithmes qu il souhaite utiliser. 3. Le client vérifie la validité du certificat du serveur (date de validité, CRL). 4. Le client génère une clé symétrique et l envoie au serveur. 5. Le serveur peut alors envoyer un test au client. 6. Le client signe le test avec la clé privée correspondant à son propre certificat. Pour cela, il saisit son code PIN. 7. Validation du certificat par le serveur (autorité / validité / CRL ). 8. Établissement de la liaison VPN SSL chiffrée. Outils et services adaptés SCRYPTO Safe-Conduit met en œuvre le procédé d authentification à double-facteur pour toutes les applications compatibles avec les standards MS CAPI ou PKCS#11. Safe- Conduit est ainsi compatible avec les clients VPN les plus courants (Juniper, F5, Cisco ). SCRYPTO a en outre développé des partenariats avec les éditeurs de VPN afin de rendre automatique l installation de Safe- Conduit par connexion au portail d accès VPN : une procédure transparente permet alors d inspecter la configuration du poste et d installer automatiquement les composants manquants éventuels. Ensuite, à chaque connexion, Safe-Conduit demande l insertion de la clé (ou de la carte) et la saisie du code secret personnel. Points forts Authentification à double facteur : carte à puce ou clé USB + code PIN Mobilité : support certificat X.509 dans la clé ou la carte Compatible VPN CISCO, CHECKPOINT, MICROSOFT, JUNIPER, F5... Transparent pour les utilisateurs Aucune clé stockée sur la machine Outils et services adaptés 13

14 Scrypto Services Certificats et PKI La solution certificats adaptée à vos besoins Les certificats X.509 permettent de sécuriser efficacement les ressources informatiques. Pour autant, leurs domaines d'application sont nombreux, leurs structures et leur mise en oeuvre varient en fonction de leur utilisation. SCRYPTO vous fait bénéficier de son expertise dans les domaines de l'igc (la PKI) et vous propose à l'issue d'une étude, une solution pour gérer des certificats qui répondent à vos besoins. Audit préalable de vos besoins Les champs d'utilisation des certificats X.509 sont nombreux, en fonction de l'utilisation qui en est faite. Les contraintes et méthodes à appliquer pour créer et délivrer un certificat diffèrent énormément. Elles ont un impact important sur le coût et la gestion des certificats. C'est pourquoi chez SCRYPTO, notre démarche est de partir de vos besoins, pour connaître les habitudes et les utilisations et enfin, déterminer les certificats adaptés. Ainsi nous réalisons un audit auprès des responsables informatiques et de certains futurs utilisateurs, permettant de déterminer vos besoins actuels et d'évaluer vos besoins futurs. nous permet de proposer une architecture PKI (schéma regroupant les différentes autorités ou AC). En fonction de ces éléments et du nombre de certificats nécessaires nous proposons une solution PKI complète : PKI autonome, Achat de certificats, Générateur de certificats. Mise en place et formation SCRYPTO vous accompagne jusqu'à la phase d exploitation des certificats. Ainsi, nous réalisons si besoin la mise en place de la PKI et la formation des utilisateurs à son fonctionnement. Accompagnement lors de vos évolutions Grâce à une prestation de maintenance adaptée, SCRYPTO vous accompagne tout au long de l'utilisation des certificats, ainsi si vos besoins évoluent nous vous apportons une solution. Étude et proposition de solutions PKI adaptées Grâce aux informations acquises lors de l'audit, nous étudions le type ou les types de certificats à mettre en place (chiffrement, authentification, signature...), l'utilité ou non de la séparation des rôles en fonction de leur utilisation. Ceci 14

15 Solution Globale Authentification forte Card Management Chiffrement de fichiers Single Sign On Sécurité des accès distants Certificats et PKI Authentifieurs Microsoft Certificate Server Microsoft, sur les systèmes d exploitation de Windows Serveur 2000 et 2003, livre une PKI sans aucun frais de licence supplémentaire. La mise en place de cette autorité peut être réalisée sur un serveur autonome ou sur un contrôleur de domaine Active Directory. Dans ce cas d architecture, l IGC permet notamment de délivrer des certificats pour le Smart Card Logon de Windows (cf. page 18). L autorité délivre les certificats pour le ou les contrôleurs du domaine et pour les utilisateurs. A partir de la version 2003, il est possible de définir des modèles de certificats spécifiques afin de simplifier l interface de l administrateur de la solution. Certificats de chiffrements avec NewPKI NewPKI, solution issue du logiciel libre, permet de créer une infrastructure de gestion de clés autonome disposant d une autorité racine (auto signée ou importée depuis un fichier PKCS#12) et des autorités filles. Conformément aux recommandations de la DCSSI, il est possible de spécifier le rôle de chaque autorité fille (authentification, signature et chiffrement). Dans le cas de certificats de chiffrement (cf. illustration), la PKI génère le certificat et son biclé au format PKCS#12, celui-ci est ensuite importé dans la carte ou la clé par les outils spécifiques de Scrypto. Le séquestre de clés géré par l IGC permet de récupérer des données en suivant un protocole défini préalablement. Points forts Audit de vos besoins Étude des coûts Propositions de solutions adaptées et personnalisées Déploiement et Formation Accompagnement lors de vos évolutions Conseil et compétences des ingénieurs SCRYPTO 15

16 Scrypto Authentifieurs La clé à puce virtuelle Le concept de la clé à puce virtuelle développé par SCRYPTO permet d'utiliser une clé USB mémoire standard comme support d'authentification et de chiffrement. carte à puce : Smart Card Logon, Messagerie sécurisée, Authentification VPN, Protection Principe La solution associe une clé USB mémoire à un logiciel interface d'émulation qui permet à toutes les applications de voir cette clé comme une carte à puce. Les données "carte" sont stockées dans la clé dans une partition invisible à l'utilisateur au travers des outils Windows. Elles ne peuvent être détruites ou modifiées directement par l'utilisateur. Ces données sont de plus protégées par chiffrement AES contre toute attaque extérieure. La clé exploite un code PIN logiciel avec gestion du nombre de codes faux présentés : la présentation successive de 3 codes faux rend la clé inutilisable, comme pour la carte à puce. Son déblocage nécessite l'intervention d'un administrateur habilité. La clé à puce virtuelle offre ainsi toutes les fonctionnalités d'une carte à puce d'authentification, tout en conservant celles d'une clé USB mémoire. Plus de 99 % de la capacité mémoire reste disponible pour le stockage de données. La clé à puce virtuelle est compatible avec toutes les applications nécessitant ou utilisant une Les données cartes sont protégées par plusieurs niveaux de chiffrement. Le premier niveau de chiffrement interdit la copie des données sur une autre clé. Le second interdit l utilisation des clés d une entreprise dans une autre entreprise. Enfin, le code PIN est utilisé pour chiffrer une nouvelle fois les données sensibles (clé privée, identifiant et mot de passe SSO, ). Si la clé est bloquée suite à la présentation de 3 codes faux, l utilisateur doit faire appel à son administrateur pour obtenir la clé de déblocage. Avantage : Une installation facile et une capacité de stockage très importante. Caractéristiques : Émulation d une carte à puce Utilisation d'une clé USB mémoire standard (de 64Mo à 4 GO) Réservation d'une zone de 1 % pour les données carte Quatre niveaux de chiffrement Utilisation de secrets propres à l'entreprise et/ou au poste Le reste de la mémoire de la clé USB est disponible 16

17 Solution Globale Authentification forte Card Management Chiffrement de fichiers Single Sign On Sécurité des accès distants Certificats et PKI Authentifieurs Les cartes à puce Cyberflex Les cartes Cyberflex e-gate FORMAT ISO Les cartes Cyberflex e-gate d'axalto bénéficient des caractéristiques intrinsèques des cartes Cyberflex classiques, à savoir, un crypto processeur embarqué qui permet la génération des clés par la carte. Ainsi les calculs cryptographiques sont réalisés par la carte et la clé secrète n'est jamais transmise ou exportée. Ce très haut niveau de sécurité a été validé par une certification EAL4+. La caractéristique e- gate de ces cartes permet de s'affranchir du lecteur de carte PC/SC. Avantages : Très haut niveau de sécurité Certification critères communs EAL 4+ (DCSSI ) Cryptoprocesseur 1024 / 2048 bits Mémoire de 32K / 64K Bus USB Intégré à la carte Idéale pour les postes fixes, la carte format ISO peut être associée au lecteur de bureau (branchement sur port USB) ou au lecteur PCMCIA pour équiper les portables. Les nombreuses possibilités de personnalisation (MiFare, graphique, piste magnétique) permettent des utilisations supplémentaires variées Le connecteur e-gate USB format lecteur de bureau Avantages : Coût du connecteur Possibilité puce MiFare Possibilité piste magnétique FORMAT SIM Les cartes Cyberflex sont disponibles au format pré-découpé SIM idéales pour les ordinateurs portables. La carte est lue par le connecteur e- gate format clé. Le connecteur e-gate USB format clé Avantages : Faible encombrement Faible coût du connecteur Le lecteur PCMCIA Avantages : Insertion parfaite dans le portable Idéal pour les utilisateurs nomades Possibilité puce MiFare Possibilité piste magnétique 17

18 Scrypto Authentifieurs Les capteurs biométriques La carte à puce avec authentification biométrique BIOthentIC est un lecteur de carte à puce comprenant un capteur d empreinte digitale. L empreinte de référence de l utilisateur est stockée dans la puce elle même, en toute autonomie. Quand les empreintes stockées dans la carte concordent avec celles saisies par le capteur, la carte déverrouille les droits pour laquelle elle a été programmée. Enrôlement L enrôlement permet de personnaliser la carte à puce en créant et en stockant son ou ses empreintes de références dans la partie de la carte prévue à cet effet. Cette opération est réalisée une fois lors de la délivrance de la carte. Caractéristiques : Capteur FingerChip 500ppp Algorithme d'authentification et empreinte de référence intégrés dans la carte à puce Taux de fausse réjection (FRR): 1.5% max Taux de fausse acceptation (FAR): 0.001% max Architecture hautement sécurisée. Authentification Lors d une authentification, il suffit de balayer son doigt sur le capteur du lecteur d empreintes digitales. Le lecteur envoie le résultat du balayage dans la carte à puce pour y être authentifié. Si les empreintes correspondent, la carte déverrouille les zones protégées en accès. L authentification fait appel à un algorithme totalement embarqué dans la carte. 18

19 19

20 20